Freigeben über


Importieren von durch HSM geschützten Schlüsseln in Key Vault (BYOK)

Zur Verbesserung der Sicherheit können Sie bei Verwendung von Azure Key Vault Schlüssel in ein HSM (Hardwaresicherheitsmodul) importieren oder darin generieren. Dieser Schlüssel verbleibt immer innerhalb der Grenzen des HSM. Dieses Szenario wird häufig als Bring Your Own Key (BYOK) bezeichnet. Key Vault verwendet FIPS 140-validierte HSMs zum Schutz Ihrer Schlüssel.

Verwenden Sie die Informationen in diesem Artikel zum Planen, Generieren und Übertragen Ihrer eigenen durch HSM geschützten Schlüssel für die Nutzung mit Azure Key Vault.

Hinweis

Diese Funktionalität ist für Microsoft Azure des Betreibers 21Vianet nicht verfügbar.

Diese Importmethode ist nur für unterstützte HSMs verfügbar.

Weitere Informationen und ein Tutorial mit den ersten Schritten mit Key Vault (einschließlich der Erstellung eines Schlüsseltresors für durch HSM geschützte Schlüssel) finden Sie unter Was ist Azure Key Vault?.

Übersicht

Im Folgenden finden Sie eine Übersicht über den Prozess. Einige der Schritte, die Sie ausführen müssen, werden weiter unten in diesem Artikel beschrieben.

  • Generieren Sie in Key Vault einen Schlüssel (als Schlüsselaustauschschlüssel (Key Exchange Key, KEK) bezeichnet). Der KEK muss ein RSA-HSM-Schlüssel sein, der nur den Schlüsselvorgang import umfasst. Nur ein Key Vault Premium HSM und ein verwaltetes HSM unterstützen RSA-HSM-Schlüssel.
  • Laden Sie den öffentlichen Schlüssel des KEK als PEM-Datei herunter.
  • Übertragen Sie den öffentlichen Schlüssel des KEK auf einen Offlinecomputer, der mit einem lokalen HSM verbunden ist.
  • Verwenden Sie auf dem Offlinecomputer das von Ihrem HSM-Anbieter bereitgestellte BYOK-Tool, um eine BYOK-Datei zu erstellen.
  • Der Zielschlüssel wird mit einem KEK verschlüsselt. Die Verschlüsselung bleibt bis zur Übertragung an die HSMs in Key Vault bestehen. Nur die verschlüsselte Version Ihres Schlüssels verlässt das lokale HSM.
  • Ein KEK, der innerhalb eines Key Vault-HSM generiert wurde, kann nicht exportiert werden. HSMs erzwingen die Regel, dass keine unverschlüsselte Version eines KEK außerhalb eines Key Vault-HSM vorhanden sein darf.
  • Der KEK muss sich in derselben Key Vault-Instanz befinden, in die der Zielschlüssel importiert werden soll.
  • Wenn die BYOK-Datei in Key Vault hochgeladen wird, verwendet das Key Vault-HSM den privaten Schlüssel des KEK, um das Zielschlüsselmaterial zu entschlüsseln und als HSM-Schlüssel zu importieren. Dieser Vorgang erfolgt vollständig innerhalb eines Key Vault-HSM. Der Zielschlüssel verbleibt stets in den Schutzgrenzen des HSM.

Voraussetzungen

In der folgenden Tabelle sind die Voraussetzungen für die Verwendung von BYOK in Azure Key Vault aufgeführt:

Anforderung Weitere Informationen
Ein Azure-Abonnement Um in Azure Key Vault einen Schlüsseltresor erstellen zu können, benötigen Sie ein Azure-Abonnement. Registrieren Sie sich für eine kostenlose Testversion.
Ein Key Vault Premium HSM oder ein verwaltetes HSM zum Importieren von durch HSM geschützten Schlüsseln Weitere Informationen zu den Dienstebenen und Funktionen in Azure Key Vault finden Sie unter Key Vault – Preise.
Ein HSM aus der Liste der unterstützten HSMs sowie ein BYOK-Tool mit den zugehörigen Anweisungen Ihres HSM-Anbieters Sie müssen über die Berechtigungen für ein HSM und grundlegende Kenntnisse in der Verwendung Ihres HSM verfügen. Weitere Informationen finden Sie unter Unterstützte HSMs.
Azure-Befehlszeilenschnittstelle Version 2.1.0 oder höher Weitere Informationen finden Sie unter Installieren der Azure CLI.

Unterstützte HSMs

Herstellername Herstellertyp Unterstützte HSM-Modelle Weitere Informationen
Cryptomathic ISV (Enterprise Key Management System) Mehrere HSM-Marken und -Modelle, einschließlich
  • nCipher
  • Thales
  • Utimaco
Weitere Informationen finden Sie auf der Cryptomathic-Website.
Entrust Hersteller,
HSM als Dienst
  • HSM-Produktfamilie „nShield“
  • nShield als Dienst
nCipher – Neues BYOK-Tool und -Dokumentation
Fortanix Hersteller,
HSM als Dienst
  • Self-Defending Key Management Service (SDKMS, selbstverteidigender Schlüsselverwaltungsdienst)
  • Equinix SmartKey
Exportieren von SDKMS-Schlüsseln nach Cloudanbietern für BYOK – Azure Key Vault
Futurex Hersteller,
HSM als Dienst
  • CryptoHub
  • CryptoHub Cloud
  • KMES Serie 3
Futurex-Integrationshandbuch – Azure Key Vault
IBM Hersteller IBM 476x, CryptoExpress IBM Enterprise Key Management Foundation
Marvell Hersteller Alle Liquid Security-HSMs mit
  • Firmwareversion 2.0.4 oder höher
  • Firmwareversion 3.2 oder höher
Marvell – BYOK-Tool und -Dokumentation
nCipher Hersteller,
HSM als Dienst
  • HSM-Produktfamilie „nShield“
  • nShield als Dienst
nCipher – Neues BYOK-Tool und -Dokumentation
Securosys SA Hersteller,
HSM als Dienst
Primus-HSM-Familie, Securosys Clouds HSM Primus – BYOK-Tool und -Dokumentation
StorMagic ISV (Enterprise Key Management System) Mehrere HSM-Marken und -Modelle, einschließlich
  • Utimaco
  • Thales
  • nCipher
Weitere Informationen finden Sie auf der StorMagic-Website.
SvKMS und Azure Key Vault BYOK
Thales Hersteller
  • Produktfamilie „Luna HSM 7“ mit Firmwareversion 7.3 oder neuer
Luna – BYOK-Tool und -Dokumentation
Utimaco Hersteller,
HSM als Dienst
u.trust Anchor, CryptoServer Utimaco-BYOK-Tool und Integrationshandbuch

Unterstützte Schlüsseltypen

Schlüsselname Schlüsseltyp Schlüsselgröße/Kurve Origin BESCHREIBUNG
Schlüsselaustauschschlüssel (Key Exchange Key, KEK) RSA 2\.048 Bit
3\.072 Bit
4\.096 Bit
Azure Key Vault-HSM Ein durch HSM gestütztes RSA-Schlüsselpaar, das in Azure Key Vault generiert wurde
Zielschlüssel
RSA 2\.048 Bit
3\.072 Bit
4\.096 Bit
Anbieter-HSM Der Schlüssel, der an das Azure Key Vault-HSM übertragen werden soll
EC P-256
P-384
P-521
Anbieter-HSM Der Schlüssel, der an das Azure Key Vault-HSM übertragen werden soll

Generieren und Übertragen Ihres Schlüssels an ein Key Vault Premium HSM oder verwaltetes HSM

So generieren und übertragen Sie Ihren Schlüssel an ein Key Vault Premium HSM oder verwaltetes HSM

Generieren eines KEK

Ein KEK ist ein RSA-Schlüssel, der in einem Key Vault Premium HSM oder einem verwalteten HSM generiert wird. Der KEK wird zum Verschlüsseln des Schlüssels verwendet, den Sie importieren möchten (Zielschlüssel).

Für den KEK gilt Folgendes:

  • Es muss sich um einen RSA-HSM-Schlüssel handeln (2.048 Bit, 3.072 Bit oder 4.096 Bit).
  • Er muss im selben Schlüsseltresor generiert werden, in den Sie den Zielschlüssel importieren möchten.
  • Die zulässigen Schlüsselvorgänge müssen auf import festgelegt sein.

Hinweis

Der KEK muss als einzigen zulässigen Schlüsselvorgang „import“ aufweisen. „import“ schließt sich mit allen anderen wichtigen Vorgängen gegenseitig aus.

Verwenden Sie den Befehl az keyvault key create, um den KEK mit auf import festgelegten Schlüsselvorgängen zu erstellen. Notieren Sie die Schlüssel-ID (kid), die vom folgenden Befehl zurückgegeben wird. (Sie verwenden den kid-Wert in Schritt 3.)

az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --vault-name ContosoKeyVaultHSM

Für verwaltetes HSM:

az keyvault key create --kty RSA-HSM --size 4096 --name KEKforBYOK --ops import --hsm-name ContosoKeyVaultHSM

Herunterladen des öffentlichen Schlüssels des KEK

Verwenden Sie den Befehl az keyvault key download, um den öffentlichen Schlüssel des KEK in eine PEM-Datei herunterzuladen. Der importierte Zielschlüssel ist mit dem öffentlichen Schlüssel des KEK verschlüsselt.

az keyvault key download --name KEKforBYOK --vault-name ContosoKeyVaultHSM --file KEKforBYOK.publickey.pem

Für verwaltetes HSM:

az keyvault key download --name KEKforBYOK --hsm-name ContosoKeyVaultHSM --file KEKforBYOK.publickey.pem

Übertragen Sie die Datei „KEKforBYOK.publickey.pem“ an Ihren Offlinecomputer. Sie benötigen diese Datei im nächsten Schritt.

Generieren des Schlüssels und Vorbereiten für die Übertragung

Informieren Sie sich in der Dokumentation Ihres HSM-Anbieters darüber, wie Sie das BYOK-Tool herunterladen und installieren. Befolgen Sie die Anweisungen des HSM-Anbieters, um einen Zielschlüssel zu generieren und dann eine Schlüsselübertragungsdatei (BYOK-Datei) zu erstellen. Das BYOK-Tool verwendet den kid aus Schritt 1 und die Datei „KEKforBYOK.publickey.pem“, die Sie in Schritt 2 heruntergeladen haben, um einen verschlüsselten Zielschlüssel in einer BYOK-Datei zu generieren.

Übertragen Sie die BYOK-Datei an Ihren verbundenen Computer.

Hinweis

Das Importieren von RSA-Schlüsseln mit 1.024 Bit wird nicht unterstützt. Das Importieren eines Elliptic Curve-Schlüssels mit der Kurve P-256K wird unterstützt.

Bekanntes Problem: Das Importieren eines RSA 4K-Zielschlüssels von Luna HSMs wird nur mit Firmware 7.4.0 oder höher unterstützt.

Übertragen des Schlüssels an Azure Key Vault

Um den Schlüsselimport abzuschließen, übertragen Sie das Schlüsselübertragungspaket (BYOK-Datei) von Ihrem nicht verbundenen Computer an den mit dem Internet verbundenen Computer. Verwenden Sie den Befehl az keyvault key import, um die BYOK-Datei in das Key Vault-HSM hochzuladen.

Verwenden Sie zum Importieren eines RSA-Schlüssels den folgenden Befehl: Der Parameter „--kty“ ist optional und wird standardmäßig auf „RSA-HSM“ festgelegt.

az keyvault key import --vault-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok

Für verwaltetes HSM

az keyvault key import --hsm-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok

Zum Importieren eines EC-Schlüssels müssen Sie den Schlüsseltyp und den Kurvennamen angeben.

az keyvault key import --vault-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --kty EC-HSM --curve-name "P-256" --byok-file KeyTransferPackage-ContosoFirstHSMkey.byok

Für verwaltetes HSM

az keyvault key import --hsm-name ContosoKeyVaultHSM --name ContosoFirstHSMkey --byok-file --kty EC-HSM --curve-name "P-256" KeyTransferPackage-ContosoFirstHSMkey.byok

Wenn der Upload erfolgreich ist, werden die Eigenschaften des importierten Schlüssels in der Azure-Befehlszeilenschnittstelle angezeigt.

Nächste Schritte

Sie können diesen HSM-geschützten Schlüssel jetzt in Ihrem Schlüsseltresor verwenden. Weitere Informationen finden Sie in dieser Gegenüberstellung von Preisen und Funktionen.